Comments 37
У меня сложилась культура работы: port knoking + проброс порта на веб интерфейс через ssh (что-то вроде: ssh -L 80:127.0.0.1:80 user@routeros_IP)
Плюсы: динамический ACL — защищает от не прошенных коннектов. SSH шифрует траффик, в т.ч. авторизацию в веб интерфейс. SSH работает из коробки, нет нужны запариваться с настройкой VPN.
Но тут кому что нравится и кто какие плюсы\минусы для себя находит
Плюсы: динамический ACL — защищает от не прошенных коннектов. SSH шифрует траффик, в т.ч. авторизацию в веб интерфейс. SSH работает из коробки, нет нужны запариваться с настройкой VPN.
Но тут кому что нравится и кто какие плюсы\минусы для себя находит
В changelog к обновлённым версиям — лаконичное:
fixed http server vulnerability
Раскрытие такой уязвимости сильно ударит по их коммерческой составляющей, ибо МикроТик за ними не следят на этапе разработки.
Зачем покупать Mikrotik и потом использовать дефолтную конфигурацию?
Петя Ламерский хочет домой фифи, а поскольку его два последних роутера прожили по году (успев задолбать петю своими зависаниями), то он спрашивает у сисадмина Васи Сетевского «а что мне поставить, чтобы не сдохло», сисадмин советует микротик, радужно описывая, что та мелкая коробочка за 2тр умеет тоже, что и кошка за 150000р. Петя покупает, включает и офигевает от того «уёё, а как это настроить то, Ваааасяяяя» Вася говорит ему «Вон, как открылось — там квик сетуп есть, введи там от провайдера что дают и пароль для фифи». Петя вводит и понимает, что усё работает…
Я не об этом говорил, на самом деле. Я говорил о людях, которые осознанно покупают Mikrotik, зная что делают. Но в вашей истории злодей — сисадмин Вася. Не надо советовать устройства такого типа Петям. Петям надо чтобы включил и работает. С тем же успехом можно посоветовать какой-нибудь Juniper SRX100.
Как будто в условном asus-шайтан-500-машина с безопасностью из коробки всё хорошо.
Микротики в линейке hAP AC повернулись лицом к клиенту и их _нужно_ советовать покупать всем домашним пользователям. И да, quick setup там теперь выполняет свою задачу, так что проблем с настройкой у среднего человека не возникнет.
Микротики в линейке hAP AC повернулись лицом к клиенту и их _нужно_ советовать покупать всем домашним пользователям. И да, quick setup там теперь выполняет свою задачу, так что проблем с настройкой у среднего человека не возникнет.
Не вижу ни одной причины, чтобы не советовать надежную, производительную и безопасную железку. Уже одного факта, что маршрутизатор гарантированно не виснет, достаточно для его рекомендации. Настраивать там нечего — большинство владельцев воткнёт ethernet-кабель от провайдера в порт 1 и больше им ничего делать не нужно, а если и понадобится что-то, то через веб-интерфейс он всё необходимое увидит прямо на главной странице настроек — в точности, как у дешевых Dlink, Tp-link, Asus.
Вот я покупаю микротик, осознавая, что я делаю. И во многих случая мне реально не надо менять ничего, что выходит за страничку quick setup (ну разьве что докинуть пару правил в фаервол и сторожевой таймер поднастроить). Ибо тут я за 5 т.р. получаю гораздо более надёжную железку, чем теже яйца от фирм на буквы Л, Д, А, Н. Причём иногда получается даже дешевле.
Как пример — самый дешманский routerboard (rb751) у меня спокойно тянул два месяца организацию со 100+ машинами на 100мбит канале (пока не приехал RB1100)
Как пример — самый дешманский routerboard (rb751) у меня спокойно тянул два месяца организацию со 100+ машинами на 100мбит канале (пока не приехал RB1100)
Так я не спорю что MT делают клёвые железки. Я с RouterOS работаю еще со времён 2.x. Сейчас у меня около десятка разных приборов крутятся — от RB951 до CCR1036 — по соотношению цена/функциональность/качество конкурентов пока нет. Но имея RouterOS, использовать только функции quick setup это всё равно что микроскопом гвозди забивать.
Ну пока на рынке, для забивания гвоздей, есть только детские пластиковые молоточки и микроскопы, при одинаковой цене, приходится выбирать микроскопы. А в ряде случаев микроскопы еще и дешевле выходят.
Если железка А обеспечивает требуемый функционал, но порой глючит, а железка Б обеспечивает требуемый функционал и ещё кучу всего и при всем этом не глючит — что вы купите, если они стоят практически одинаково?
Ну хз, я у кого не спрашивал сейчас все советуют микротик. Я не сетевик и не сисадминский гуру, до этого был зюхель кинетик, который ушёл родителям, а до этого тплинк, а до этого длинк… Сейчас использую RB951Ui-2HnD. Да, с наскоку его не настроить, функций не миллион, а миллиард, но quick setup поначалу всё решил и отлично работает с дефолтными настройками. Могу сказать что по стабильности работы и заявленной/ожидаемой производительности Микротик у меня на 1м месте, причём далеко от преследователей. Понятно что я использую лишь пару процентов функциональности этого роутера, но есть ли простая (ламерская) альтернатива в которой есть кнопка «сделать хорошо» и она будет работать 24/7?
Перепрошить зависающий роутер нормальной прошивкой.
Скажите, какую прошивку зашить в китайский блок питания. И ещё, какую прошивку зашить в DC/DC конвертер, который сделали с ошибками. Если что, это крупные косяки некоторых дешевых роутеров.
Перепрошить зависающий роутер нормальной прошивкой.
Что имеется в виду под «нормальной прошивкой»? DD-WRT, OpenWRT? Ну, если много свободного времени — можно попробовать. Хотя не все роутеры поддерживают её. Не проще ли купить железку, которую не нужно перепрошивать, изучая мануалы и надеясь, что после перепрошивки железка не превратится в крипич?
Вся эта эпопея с доведением убого девайса до ума всё равно заканчивается покупкой качественного роутера с нормальной родной прошивкой.
Вы предлагаете продавать их только после прохождения идиотен-теста?
Загнётся такой вендор.
Загнётся такой вендор.
Зря вы так. Кому нужны ваши тесты?
Если пользователя заботит безопасность — он сменит пароль.
Если же пользователь совершенно не против того что его пароль открыт — что в этом плохого.
Это точно так же как запирать квартиру на ключ.
Если я захочу я положу ключ от квартиры под коврик у двери. Что в этом плохого?
Если пользователя заботит безопасность — он сменит пароль.
Если же пользователь совершенно не против того что его пароль открыт — что в этом плохого.
Это точно так же как запирать квартиру на ключ.
Если я захочу я положу ключ от квартиры под коврик у двери. Что в этом плохого?
В Минске некоторые провайдеры, ставя абонентам GPON дают абоненту роутеры MikroTik.
Ну и такие абоненты, естественно не бум-бум в них.
Ну и такие абоненты, естественно не бум-бум в них.
Затем, чтобы с чего-то начинать. Не все же родились со знанием всего и сразу. Хотя выражение «я купил микротик и снес заводскую настройку» теперь такое же модное, как «я не смотрю телевизор».
Да проблем и без дефолтной конфигурации хватает. Множество людей настраивают оборудование по инструкциям из этих ваших интернетов… Чего уж говорить, даже на хабре в какой-то статье про микротик netmap назвали улучшенной версией dst-nat… И куча вопросов по этому netmap вечно возникает… И это, вроде как, сисадмины… Так что…
У микротика и официальная документация написана так себе: очень много наивных howto и довольно вольные формулировки.
Вот хорошо, что Вы про netmap знаете ответы. Просто я так и не понимаю, что правильней, что лучше и почему, в случае:
chain=dstnat action=netmap to-addresses=XXX.XXX.XXX.XXX to-ports=XXXX protocol=tcp in-interface=WAN dst-port=YYYY
или
сhain=dstnat action=dst-nat to-addresses=XXX.XXX.XXX.XXX to-ports=XXXX protocol=tcp in-interface=WAN dst-port=YYYY
Можете объяснить? Спасибо.
chain=dstnat action=netmap to-addresses=XXX.XXX.XXX.XXX to-ports=XXXX protocol=tcp in-interface=WAN dst-port=YYYY
или
сhain=dstnat action=dst-nat to-addresses=XXX.XXX.XXX.XXX to-ports=XXXX protocol=tcp in-interface=WAN dst-port=YYYY
Можете объяснить? Спасибо.
Хм. Ну если по простому:
если у вас 2 набора сетей, например, VPN между офисами и в обоих сетях одна подсеть, например 192.168.0.0/24, то используйте netmap.
если вы хотите внешний запрос к внешнему IP направить на внутренний сервер, то есть, например веб сервер опубликовать или на RDP сервер редирект сделать с внешнего IP, то используйте dst-nat
Некоторые оставляют веб-интерфейс доступным наружу, чтобы смотреть графики или конфигурить что-то.
Я сам обычно веб на микротике сразу убиваю, и сколько видел чужих настроек, в большинстве тоже вырублен. Это так, кто по дефолту все оставляет, но это проблема у многих вендоров есть. Особенно открытый WiFi :)
Странно наблюдать за двойными стандартами государств, которые ищут уязвимости что бы потом использовать, при этом нарушая свои же собственные законы.
Думаю, не лишним будет отметить, что подобная уязвимость может эксплуатироваться даже если доступ к WebFig разрешен только с одного локального адреса. Например различные эксплоит-паки на которые каждый может напороться случайно в сети вполне могут содержать ссылки вида http://192.168.88.1/vulnerable_url (192.168.88.0/24 — дефолтная сеть в микротиках). Ваш браузер молча перейдет по ссылке и роутер будет скомпрометирован.
Я бы вообще не рекомендовал использовать веб-интерфейс нигде и никогда. Либо использовать на нестандартных адресах/портах либо с доступом только с адреса с которого никто не занимается веб-серфингом.
Я бы вообще не рекомендовал использовать веб-интерфейс нигде и никогда. Либо использовать на нестандартных адресах/портах либо с доступом только с адреса с которого никто не занимается веб-серфингом.
Sign up to leave a comment.
Спецслужбы США атакуют вендоров. Теперь MikroTik. Патч уже доступен